JP3686080B2 - Modification detection method for digital signal aggregate - Google Patents

Modification detection method for digital signal aggregate Download PDF

Info

Publication number
JP3686080B2
JP3686080B2 JP50408795A JP50408795A JP3686080B2 JP 3686080 B2 JP3686080 B2 JP 3686080B2 JP 50408795 A JP50408795 A JP 50408795A JP 50408795 A JP50408795 A JP 50408795A JP 3686080 B2 JP3686080 B2 JP 3686080B2
Authority
JP
Japan
Prior art keywords
string
original
test
computer
protection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP50408795A
Other languages
Japanese (ja)
Other versions
JPH09502550A (en
Inventor
スィー.、ザ サード アレン、ローレンス
フォレスト、スティファニー
エス. ペレルソン、アラン
Original Assignee
スィー.、ザ サード アレン、ローレンス
フォレスト、スティファニー
エス. ペレルソン、アラン
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by スィー.、ザ サード アレン、ローレンス, フォレスト、スティファニー, エス. ペレルソン、アラン filed Critical スィー.、ザ サード アレン、ローレンス
Publication of JPH09502550A publication Critical patent/JPH09502550A/en
Application granted granted Critical
Publication of JP3686080B2 publication Critical patent/JP3686080B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity

Description

技術分野
本発明は、コンピュータにおいて格納されもしくは使用されるようなデジタル信号集合体に対する改変を検出する方法に関する。また、特に、本発明は、例えば、ウイルスや他の形態による不当な改ざんにより生じたコンピュータファイル内の改変を検出する方法に関する。
発明の背景
ハードウェアはネットワークを介して相互に関係付けられ、一方ソフトウェアはコンピュータプログラム及びデータの携帯性という面から相互に関係付けられるというように、コンピュータシステムやソフトウェアが益々相互に関連してくるにつれて、例えばウイルスのような不当な利用者や不当な改ざん者による不当な侵入から守ることは益々困難なものとなってきている。更に、コンピュータが益々相互に関係付けられるにつれて、一旦コンピュータネットワークのあるノードでそのような侵入が起こるとその侵入から(他の装置を)離隔させるのは益々困難になってきている。
この技術分野においては、ウイルス検出プログラムがよく知られている。典型的な従来のウイルス検出プログラムにおいては、コンピュータの副構成要素である記憶媒体(メモリ又はディスク)内に寄生する特定のウイルスを追跡してその存在を判断することがプログラムにより行われている。しかしながら、かかる従来の対ウイルス・プログラムは単に既知のウイルスを検出するにすぎない。新しいウイルスが創作されてコンピュータプログラムに侵入するような場合、その対ウイルス・プログラムでは新しいウイルスは特定できないので、そのような新規に侵入するウイルスの存在を検出することはできない。それ故、従来において対ウイルス・プログラムが次々と出現してきた理由の一つとしては、新たに創作されたウイルスを特定するために対ウイルス・プログラムは随時更新されなければならなかったからである。
同様に、従来の対ウイルス・プログラムの他の問題点としては次のようなものがある。即ち、ネットワーク上のあるコンピュータのあるノードからあるウイルスが侵入し、対ウイルス・プログラムがそれを検出できなかった場合、ネットワーク上の他のすべてのコンピュータに同じ対ウイルス・プログラムが備わっていたとしても、そのウイルスは検出されないままネットワーク上の他のすべてのコンピュータに拡散してしまう。その結果、新しいウイルスであれば、コンピュータネットワーク上のあるノードに一旦侵入すれば、全コンピュータネットワークに侵入拡散できることが事実上確証される。
コンピュータ技術分野において、対ウイルス・プログラムと同じように、その改変を検出するためにあるファイルを他のファイルと比較するプログラムというのはよく知られている。加えて、例えばチェックサムのようなファイル認証方法もこの技術分野においてはよく知られている。
生物学の分野においては、免疫システム細胞というものがよく知られている。T細胞がその免疫システムの一部を構成している。T細胞は抗原を検出する受容体をその表面に有している。これらの受容体は疑似ランダム遺伝的過程を経て構成され、いくつかの受容体は生体からの分子もしくは「自己分子」を検出することができる高い可能性を有している。T細胞は胸腺において消極的選択と呼ばれる検閲過程を経る。消極的選択において、自己分子もしくは生体にとって通常の分子、又はペプチドである分子を認識したT細胞は、破壊され胸腺に抑留される。自己ペプチドを検出しなかったT細胞は、胸腺を離れ、外部からの抗原に対する免疫による保護についての一基礎を提供する。
発明の概要
本発明においては、オリジナル・コンピュータ・ファイルを保護するために、複数の隣接デジタル信号を有するコンピュータ保護ファイルを生成する方法が開示されている。その方法においては先ずテストファイルが生成される。テストファイルは複数の隣接デジタル信号を有する。その方法においては、テストファイルにおける複数の隣接デジタル信号とオリジナル・コンピュータ・ファイルにおける複数の隣接デジタル信号とのマッチングが調べられる。そこで、マッチしていた場合、そのテストファイルは破棄され、その手順はもとに戻って前のテストファイルと異なる他のテストファイルを生成する。一方、マッチしていなかった場合、そのテストファイルは格納される。
本発明には、オリジナル・コンピュータ・ファイルに対する改変を検出する方法も含まれており、その方法においてはオリジナル・コンピュータ・ファイルは関連保護ファイルを有している。オリジナル・コンピュータ・ファイルは複数の隣接デジタル信号を有している。関連コンピュータ保護ファイルも複数のテストファイルを有しており、それらのテストファイルの各々は複数の隣接デジタル信号を有している。また、その複数の隣接デジタル信号は、オリジナル・コンピュータ保護ファイルが生成されたときにおいては、オリジナル・コンピュータ・ファイルにおける複数の隣接デジタル信号とはマッチしない信号である。そこで、この方法においては、コンピュータ保護ファイルの1つのテストファイルの複数の隣接デジタル信号とオリジナル・コンピュータ・ファイルにおける複数の隣接デジタル信号とが比較される。非マッチの場合には、コンピュータ保護ファイルにおけるすべてのテストファイルが検証されるまで、異なるテストファイルが選択され、手順は比較のステップまで戻る。一方、テストファイルとオリジナル・コンピュータ・ファイルがマッチした場合には、その手順は終了し、オリジナル・コンピュータ・ファイルに改変が検出されたことになる。
【図面の簡単な説明】
図1a及び1bは、コンピュータ保護ファイルを生成し、そのコンピュータ保護ファイルが生成された後のオリジナル・コンピュータ・ファイルに対する改変を検出するという本発明の好適な実施例における2つの方法のそれぞれのフローチャートである。
図2a及び2bは、それぞれ図1a及び1bに示された方法の他の実施例のフローチャートである。
図3は、コンピュータのネットワークの概略図であり、それぞれのコンピュータは、ネットワークのあるノードからウイルスが侵入した場合にその拡散を防御するためのオリジナル・コンピュータ・ファイルと関連した異なるコンピュータ保護ファイルを有している。
発明の詳細な説明
本発明は、オリジナルのコンピュータ・ファイルを保護するため、コンピュータ保護(protection)ファイルを生成する方法に関する。明細書中で、請求の範囲を含めて、使われているように、「ファイル」という用語は、デジタル情報の集まり(collection)を意味する。このようなデジタル情報の集まりには、コンピュータのディスクドライブ等の、ある格納メディア(storage medium)上に物理的に格納された物理的なファイルや、他の物理的ファイルの一部である論理的ファイルが該当し得る。「ファイル」という用語が示すものは、オリジナルのコンピュータ・ファイル内に含まれているコンピュータ保護ファイルのように、エンコードされ、他の「ファイル群」内に含まれることさえある。要するに、用語「ファイル」は、他の物理的集まりから分離された物理的集まりに限定されず、単にデジタル情報の集まりが該当する。
図1aを参照すると、オリジナルのコンピュータ・ファイル10を保護するためにコンピュータ保護ファイル16を生成する本発明の方法のフローチャートが示されている。オリジナルのコンピュータ・ファイル10は、複数の隣接するデジタル信号を有するファイル又はストリングとして表されている。本発明の方法は一般に、コンピュータ・システム内で保護されるデジタル情報の集まりに関するので、オリジナルのストリング10は、バイナリ信号又は、バイトやキャラクタによってベースとされるより大きな信号であり得る。コンピュータは、テスト・ストリング(R0)12として表されるテスト・ファイルをランダムに生成する。テスト・ストリング12は、また、隣接するデジタル信号を複数有する。次に、ランダムに生成されたテスト・ストリング12の、オリジナル・ストリング10の一部に対する比較(match)が試みられる。これから詳細に説明されるように、テスト・ストリングR0の複数の隣接するデジタル信号は、オリジナル・ストリング10の複数の隣接するデジタル信号と比較が試みられる。マッチ(以後、詳細に議論される基準)の場合、テスト・ストリング12は、捨てられ(rejected)、そして、当該方法は続けて、別のランダム・テスト・ストリング12を生成し、前記のステップを続ける。マッチしない(non-match)場合、テスト・ストリング12はコンピュータ保護ファイル16又は抗体セット(R)16内に保持される。好ましい実施の形態では、これまでに記載された方法が、複数の非マッチング(non-matching)・テスト・ファイル12が抗体セット(R)16内に、コンピュータ保護ファイルとして格納されるまで、続けられる。
ランダムに生成されたテスト・ストリング12の複数の隣接するデジタル信号の、オリジナル・ストリング10の複数の隣接するデジタル信号への比較を試みるため、オリジナル・ストリング10はまず、それぞれが複数の隣接デジタル信号から構成される、複数の隣接セグメントに構文解析され(parsed)、又は、論理的に分解される。好ましい実施の形態では、オリジナル・ストリング10は、等しいサイズのセグメントに、構文解析又は分解される。しかしながら、これは必須の制限ではなく、単に便宜上のものである。例えば、オリジナル・ストリング10が、
00101000100100000100001010010011
から成る32ビット・ストリングである場合、上記記載の32ビット・ストリングは、以下のように、それぞれ4つの隣接デジタル・ビットから構成される8つのセグメントに構文解析・分解される。
0010|1000|1001|0000|0100|0010|1001|0011
オリジナル・ストリングが、それぞれ4つの隣接デジタル・ビットを有する8つのセグメントに構文解析・分解されると、ランダムに生成されるテスト・ストリング12のそれぞれも、その長さが4つの隣接するデジタル・ビットになる。テスト・ストリング12は、それから、テスト・ストリング12のデジタル信号のそれぞれを、各セグメントのデジタル信号に対してテストすることによって、セグメントのそれぞれと比較される。従って、テスト・ストリング12が隣接デジタル信号「1000」を含む場合、テスト・ストリング12と第2セグメントとの間にマッチが見出される。その場合、当該方法は続いて、ランダムに異なるテスト・ストリング12を生成し、そのテスト・ストリング12の、オリジナル・ストリング10のセグメントのそれぞれに対する比較が試みられる。
ランダムに生成されたテスト・ストリング12が、オリジナル・ストリング10のセグメントのいずれにもマッチしないことが分かった場合、例えば、テスト・ストリングが「0111」である場合、そのテスト・ストリング12は抗体セット(R)16内に格納される。好ましい実施の形態では、それぞれがオリジナル・ストリング10のセグメントのいずれにもマッチしない、複数のテスト・ストリング12が抗体セット(R)16内に格納されるまで、別のテスト・ストリング12がランダムに生成され、オリジナル・ストリング10の各セグメントに対してテストされる。
図1bを参照すると、本発明のもう一つの方法のフローチャートが示されており、ここでは、一旦、前記方法において判断されるように、マッチしない複数のテスト・ストリングが見出され、抗体セット(R)16内に格納されると、抗体セット(R)16は、テストされるストリング18内に改変が生じているか否かを判断するのに使われる。テストされるストリング18は、テストされたオリジナル・ストリング10と関連を有する。オリジナル・ストリング又はオリジナル・コンピュータ・ファイル10の許可されていない侵入又は侵略(unauthorized intrusion or invasion)が発生しなかった場合、テストされるストリング18は、オリジナル・ストリング10と一致する。しかしながら、抗体セット(R)16が生成されてから、オリジナル・ストリング10がウイルス等によって変更、又は侵された場合、テストされるストリング18はオリジナル・ストリング10の変形物(variation)である。図1bに描かれた本発明の方法は、テストされるストリング18が、オリジナル・ストリング10である確率が高いのか、その変更された変形物であるかの判断をする。
好ましい実施の形態においては、テストされるストリング18も、それぞれ複数の隣接デジタル信号で構成される複数のセグメントに構文解析又は分解される。再び、好ましい実施の形態においては、セグメントの長さは等しく、かつ、抗体セット(R)16の生成に使われたセグメントの長さに等しい。上の例で続けると、ストリング18は、それぞれ4ビット長の8つのセグメントに構文解析・分解される。4ビット長である、抗体セット(R)16からのテスト・ストリングのそれぞれは、ストリング18のセグメントのそれぞれに対して比較される。抗体セット(R)16からのテスト・ストリング12がストリング18からのセグメントのいずれにもマッチしない場合、抗体セット(R)16から次のテスト・ストリング12が使われる。これは、抗体セット(R)16からのテスト・ストリングのすべてがテストされ、ストリング18がオリジナル・ストリング10と同じである確率が高いことが明らかにされるまで、続く。
一方、抗体セット(R)16からのテスト・ストリングのいずれかが、ストリング18のセグメントのいずれかにマッチする場合は、ストリング18は、オリジナル・ストリング10と一致せず、オリジナル・ストリング10への変更が発生したことが明らかにされる。
図3には、ネットワーク化された複数のコンピュータ20(A−D)の概略図が示されている。本発明の前記方法による効果は、図3を参照することにより明らかになる。もし、それぞれのコンピュータ20が各々のオリジナルのコンピュータ・プログラムあるいはストリング10を遂行すると仮定するならば、図1aを用いて説明された方法により、各コンピュータ20(A−D)は連携されたコンピュータ保護ファイルあるいは他のコンピュータ20により生成されたものとは異なる抗体セット(R)16を生成する。各保護ファイル16はランダムに生成されたテスト・ストリング12に基づいて作成されるため、コンピュータ20Aと連携され、R1とラベルされた保護ファイル16は、コンピュータ20Bにより生成されたオリジナルのストリング10と連携されたR2とラベルされた保護ファイル16とは異なる。それゆえ、各コンピュータ20にとって、オリジナルファイル10と連携された保護ファイル16は別のものである。
ここで、コンピュータ・ノードの1つ、すなわちコンピュータ20Aに発生したウイルスあるいは不許可の指令を想定してみよう。さらに、コンピュータ20Aで動くオリジナルのコンピュータ・ファイル10と連携されたコンピュータ保護ファイルR1は、ウイルスの指令を検出できないと仮定しよう。さらに、ウイルスは連結に沿ってコンピュータ20Bに伝播する。同じウイルスであるから、コンピュータ20Aで動くオリジナルのストリング10を冒したのと同じように、コンピュータ20Bで動くオリジナルのコンピュータ・ファイルあるいはオリジナルのストリング10を冒す。コンピュータ20Bのオリジナルのファイルと連携されたコンピュータ保護ファイルあるいは抗体セット16R2は、コンピュータ20Aのコンピュータ保護ファイルとは異なるから、コンピュータ20Aのコンピュータ保護ファイルR1がウイルスの指令を検出できなかったとしても、前述のテスト方法によればオリジナルのコンピュータ・ファイル10の変化によりウイルスの存在を検出するかも知れない。それゆえ、ウイルスが全体のコンピュータネットワークに侵入するためには、ウイルスはコンピュータ20Aのコンピュータ保護ファイルR1ばかりでなく、コンピュータ20Bの保護ファイルR2,コンピュータ20Cの保護ファイルR3,コンピュータ20Dの保護ファイルR4にもまた打ち勝たねばならない。お分かりのように、ネットワーク上のコンピュータの数が増えるにつれ、増加するネットワーク上の異なる保護ファイルに対応して検出を避けるウイルスの能力も減少する。それゆえ、本発明の方法において、オリジナルのストリング10へのウイルスの指令の検出は、確率的根拠のある決定である。
検出の確率
検出は確率的なものであるため、次に保護ファイル16のテスト・ストリングおよびオリジナルのストリング10の異なる構成に対する確率について説明する。最初は、同じ長さの2つのストリング間の完全なマッチングは、ストリングの各場所で、デジタル信号(バイナリ信号、あるいはバイト信号やキャラクタ信号のようなバイナリ信号の集まり)が同一であることを意味することに注意すべきである。1つの実施例においては、もし対応する場所におけるシンボルの隣接マッチングが起こるならば、マッチングが起こると思われる。さらに、もしストリングの長さがlでありmがアルファベットのシンボルの数(シンボルがバイナリ1であり、104の順位にある場合、SPARCプロセッサからの指令セットに対しm=2,そして中間値に対しm=50)であるならば,マッチングの確率は次のように決定される。
もし、次の用語を定義するならば、
R0=テスト・ストリングの最初の数(マッチングを行う前)
R=マッチングを行った後のテストストリングの数
S=オリジナルのストリングのセグメントの数
M=2つのランダム・ストリングのマッチングの確率
f=NSオリジナルのストリングのいずれもマッチングしないランダム・ストリングの確率
=(1−PMNS
f=NR抗体が指令を検出しない確率
もし、PMが小さくNSが大きいならば、

Figure 0003686080
そして、
Figure 0003686080
上記をNRについて解くと、
ln Pf=NR ln(1-PM
あるいは、
Figure 0003686080
fは、ほぼ
Figure 0003686080
であるから、
-PMNS=NS ln(1-PM
あるいは、
-PM=ln(1-PM
あるいは、
Figure 0003686080
そこで、次の式を得る。
Figure 0003686080
あるいは、
Figure 0003686080
この式により、検出の確率(1−Pf)の関数として指令を検出することが求められる最初のストリング(NR0)の数、保護されるオリジナルのストリングのセグメントの数(NS)、およびマッチングルール(PM)を予測することができる。R0は、次式のようなマッチングルールを選択することにより最小化される。
Figure 0003686080
これは所望の検出の確率を選択することができ、NSの大きさ(保護されるべきストリングの数)の関数として求められる抗体ストリングの数を概算することができることを示している。
検出の確率の増大はコンピュータ費用の増加に結び付くため(R0およびRの大きさが増大するため)、(a)1つの侵入行為がいかに致命的であるか、そして(b)システムにどれほど冗長性が存在するか(すなわち、どれほど検出アルゴリズムのコピーが存在するか)を決定することにより所望の検出の確率を選択することができる。検出の確率は独立の検出アルゴリズムの数により指数関数的に増加することに注意すべきである。もし、Nt=アルコリズムのコピーの数であるならば、
Figure 0003686080
以下の表の値は、異なったアルファベットサイズ、すなわちmから対応するrおよびlの値を求めたものである。
Figure 0003686080
Figure 0003686080
Figure 0003686080
前述の表は、式に対して概算により求めたものである。結局、正確な式を用いて、以下の表の値を求めた。
Figure 0003686080
Figure 0003686080
Figure 0003686080
他の実施例
図2aには、図1aに示された本願発明の方法の他の実施例のフローチャートが示されている。図2aのフローチャートでは、オリジナル・ストリングは110として記載されている。本願発明の方法を実行しているコンピュータは、ランダムなテスト・ストリング112を生成する。図1aに示されるオリジナル・ストリング10と同様なオリジナル・ストリング110は、複数のセグメントとして細かに調べられる。好ましい実施例では、セグメントのすべては複数の隣接デジタル信号からなる各々のセグメントと等価である。ついで、コンピュータはランダムに生成させたテスト・ストリング112をオリジナル・ストリング110の各々のセグメントとのマッチングを行う。結局、マッチしないと、テスト・ストリング112は廃棄される。
結局、テスト・ストリング112がオリジナル・ストリング110のセグメントとマッチすると、テスト・ストリング112は、抗体セット(R)116の一部として保護ファイル116に保持される。抗体セット(R)116の生成は、図1aで示され記述された抗体セット(R)16の正確に相補的なロジックとなる。しかしながら、テスト・ストリング112はオリジナル・ストリング110のひとつ以上のセグメントとマッチするので、テスト・ストリング112がオリジナル・ストリング110とマッチする特定のひとつの場所かまたは複数の場所もまた抗体セット(R)116に格納される。また、テスト・ストリング112がオリジナル・ストリング110のセグメントとマッチした回数に関するデータも抗体セット(R)116に記録されなければならない。
図2aに示したフローチャートと同じように、図2bのフローチャートは、図1bのフローチャートに示された方法の別の実施例である本願発明の方法を示している。一旦、抗体セット(R)ファイル116が作られると、抗体セット(R)ファイルはストリング118に対してテストされる。それは抗体セット116からのテスト・ストリング112がストリング118に対してマッチすると仮定される各々の場所で、抗体セット116からのテスト・ストリング112をテストされるべきストリング118に対してマッチングを試みることになる。もし、マッチしなければ、ストリング118はオリジナル・ストリング110と同一ではなく、オリジナル・ストリング110に対する変化が検出される。
もし抗体セット116からのテスト・ストリング112がストリング118のセグメントとマッチすれば、コンピュータはテスト・ストリング112をマッチが起こると想定されているすべての場所がテストされるかまたは必要とされるマッチ数になるまで、残りのすべてのセグメントに対して比較を行う。これは、もし複数のマッチがあったり、オリジナル・ストリング110のセグメントのひとつのみにウイルスが感染したような場合、マッチングテストは抗体セット116からのテスト・ストリング112をオリジナル・ストリング110の想定されたマッチングセグメントのすべてに対して、変更が生じていないことを確かめるため比較しなければならないため必要なことである。もし、抗体セット116からのテスト・ストリング112が、ストリング118のセグメントの必須の回数や必須の場所でマッチすれば、第2のテスト・ストリング112が抗体セット116から検索され、すべてのテスト・ストリング112がテストされるまで、別のマッチングテストが実行される。結局、すべてのテスト・ストリング112が必須の場所および回数でストリング118のセグメントとマッチし、ストリング118はオリジナル・ストリング110と同一であるという高い信頼性を有するようになる。
図2aおよび2bに述べられ示されたオリジナル・ファイルでの変化を確実に検知するという点における本発明の方法の有利な点は、同様に、図3に述べられ示されるようなネットワークに適用することができる。ネットワークの各々のコンピュータ20(A−D)は他のコンピュータ20の抗体セット116とは異なるそれ自身の抗体セット116を生成するので、ウィルスを逃しコンピュータネットワーク全体に広がってしまう確率は、ネットワークにおけるコンピュータの数が増加するにつれて減少するであろう。
その他の考察
前述において論じたように、本発明は物理的な”ファイル”の作成またはテストに限定されない。用語”ファイル”の使用は、デジタル信号、キャラクタ信号による又はバイトによるような2進数あるいはそれ以上のグループ化(grouping)の集合体を備え得るデジタル情報の集合を定義するには明かに手不足である。
更に、前述において論じたように、”マッチ”の概念は、各場所において完全同一であるマッチに限定されない。上記において記載される一例は単に、”r<lとなるようなストリング長lにおいて、対応する位置における信号間での隣接するr個のマッチ”である。他の実施例は単に、”r<lとなるようなストリング長lにおいて、対応する位置における信号間でのr個のマッチ”である。この実施例は、対応する位置における信号間のマッチは隣接するマッチでなければならないという要件を緩和する。他の形態のマッチには相補形態(complementary form)のような論理等価物が含められる。故に、例えば、2進法のストリング”0111”は”1000”に対するマッチと考えられる。というのは、この2つは論理的に相補的等価物であるからである。
更に、図1aに示され記載されるようなコンピュータ保護ファイル16の発生において、オリジナル・ストリング10に”マッチしない”テスト・ストリング12を保持することによって、対応する場所、例えば1つのシンボル、にマッチがなければテスト・ストリング12は拒絶される必要はない。言い換えれば、コンピュータ保護ファイル16は、複数の”純粋な”テスト・ストリング12であってどのストリングもオリジナル・ストリング10における対応するシンボルとマッチする単一シンボルは有しないようなものを備える必要はない。低レベルのマッチが許容され得る。
従って、テストされるストリング18に対してコンピュータ保護ファイル16の各テスト・ストリング12をテストするに当たり、図1bに示され記載されるように、対応する場所における単一シンボルのマッチのような低レベルのマッチはオリジナル・ストリング10が変更された旨の宣言に至る必要はない。
同様に、コンピュータ保護ファイル116の発生において、図2aに示され記載されるように、オリジナル・ストリング110に”マッチする”テスト・ストリング112を保持することによって、対応する場所に例えば1つのシンボルがマッチしないならテスト・ストリング112は拒絶される必要はない。言い換えれば、コンピュータ保護ファイル116は、複数の”純粋な”テスト・ストリング112であってどのストリングもオリジナル・ストリング110における対応するシンボルとマッチしない単一シンボルは有しないようなものを備える必要はない。低レベルの非マッチングが許容され得る。
加えて、コンピュータ保護ファイル16の各テスト・ストリング12をテストするに当り、図2bに示され記載されるように、対応する場所における単一シンボルがマッチしないような低レベルの非マッチはオリジナル・ストリング10が変更された旨の宣誓に至る必要はない。
故に、クレームを含めて、ここで用いるように、用語”マッチ”は、上述の方法のいかなるものをも含むものであり、場合に応じて低レベルの”マッチ”又は”非マッチ”を含むが、これらに限定されるものではない。
低レベルの”マッチ”又は”非マッチ”の許容の論拠は、単一シンボル(ビットまたはバイト)における変更のような幾つかの変更のみを生じるウイルスは蔓延しないだろうということである。ウイルスが複写するならば、多くの変化が起きウイルスが検出されるだろう。低レベルのウイルス攻撃を許容するための二律背反性は、オリジナル・ストリングを保護するアルゴリズムが速く実行するだろうが保護の低下を伴うということである。これは、人間の免疫系において低レベルのウイルス攻撃は必ずしも免疫応答を引き起こさないことと類似している。
最後に、テスト・ストリング12又は112の発生は、図1a及び図2bに示され記載される方法においてランダムに発生しなくてもよい。次に発生するテスト・ストリング12又は112が先に発生するテスト・ストリング12又は112と異なる限りにおいて、本発明の方法は同様に機能するだろう。 Technical field
The present invention relates to a method for detecting alterations to a collection of digital signals as stored or used in a computer. In particular, the present invention relates to a method for detecting alterations in a computer file caused by, for example, unauthorized alteration by viruses or other forms.
Background of the Invention
As computer systems and software are increasingly interrelated, such as hardware is interrelated over a network, while software is interrelated in terms of the portability of computer programs and data, for example It has become increasingly difficult to protect against unauthorized intrusion by unauthorized users such as viruses and by unauthorized tampers. Furthermore, as computers are increasingly interrelated, it is becoming increasingly difficult to isolate (other devices) from such intrusion once it occurs at a node in the computer network.
Virus detection programs are well known in the art. In a typical conventional virus detection program, the program tracks a specific virus that is parasitic in a storage medium (memory or disk) that is a sub-component of the computer and determines its presence. However, such conventional anti-virus programs simply detect known viruses. If a new virus is created and enters a computer program, the anti-virus program cannot identify the new virus and therefore cannot detect the presence of such a new invading virus. Therefore, one reason for the emergence of anti-virus programs in the past is that the anti-virus program has to be updated from time to time in order to identify newly created viruses.
Similarly, other problems with conventional anti-virus programs include: That is, if a virus enters from a node on one computer on the network and the anti-virus program fails to detect it, even if all other computers on the network have the same anti-virus program The virus spreads to all other computers on the network without detection. As a result, it is practically confirmed that a new virus can infiltrate and spread to all computer networks once it has entered a certain node on the computer network.
In the computer arts, as with anti-virus programs, programs that compare one file with another to detect its modification are well known. In addition, file authentication methods such as checksums are well known in the art.
In the field of biology, immune system cells are well known. T cells form part of the immune system. T cells have receptors on their surface that detect antigens. These receptors are constructed through a pseudo-random genetic process, and some receptors have a high probability of being able to detect molecules or “self-molecules” from living organisms. T cells go through a censorship process called passive selection in the thymus. In the passive selection, T cells that recognize self-molecules, molecules that are normal to living organisms, or molecules that are peptides are destroyed and retained in the thymus. T cells that have not detected self-peptides leave the thymus and provide a basis for protection by immunity against external antigens.
Summary of the Invention
In the present invention, a method for generating a computer protection file having a plurality of adjacent digital signals to protect the original computer file is disclosed. In that method, a test file is first generated. The test file has a plurality of adjacent digital signals. In that method, matching between a plurality of adjacent digital signals in the test file and a plurality of adjacent digital signals in the original computer file is examined. If there is a match, the test file is discarded, and the procedure returns to generating another test file different from the previous test file. On the other hand, if there is no match, the test file is stored.
The present invention also includes a method for detecting alterations to an original computer file, wherein the original computer file has an associated protected file. The original computer file has a plurality of adjacent digital signals. The associated computer protection file also has a plurality of test files, each of which has a plurality of adjacent digital signals. The plurality of adjacent digital signals are signals that do not match the plurality of adjacent digital signals in the original computer file when the original computer protected file is generated. Therefore, in this method, a plurality of adjacent digital signals in one test file of the computer protection file are compared with a plurality of adjacent digital signals in the original computer file. If there is a mismatch, a different test file is selected until all test files in the computer protected file have been verified and the procedure returns to the comparison step. On the other hand, if the test file and the original computer file match, the procedure ends and a modification is detected in the original computer file.
[Brief description of the drawings]
FIGS. 1a and 1b are respective flowcharts of two methods in a preferred embodiment of the present invention for generating a computer protection file and detecting modifications to the original computer file after the computer protection file was generated. is there.
Figures 2a and 2b are flowcharts of another embodiment of the method shown in Figures 1a and 1b, respectively.
FIG. 3 is a schematic diagram of a network of computers, each computer having a different computer protection file associated with the original computer file to protect against the spread of a virus from one node of the network. doing.
Detailed Description of the Invention
The present invention relates to a method for generating a computer protection file to protect an original computer file. As used herein, including the claims, the term “file” means a collection of digital information. Such a collection of digital information includes a physical file physically stored on a storage medium, such as a computer disk drive, or a logical file that is part of another physical file. File can be applicable. What the term “file” indicates may be encoded and even included in other “file groups”, such as a computer protected file contained within the original computer file. In short, the term “file” is not limited to a physical collection separated from other physical collections, but simply a collection of digital information.
Referring to FIG. 1a, a flowchart of the method of the present invention for generating a computer protection file 16 to protect the original computer file 10 is shown. The original computer file 10 is represented as a file or string having a plurality of adjacent digital signals. Since the method of the present invention generally relates to a collection of digital information protected within a computer system, the original string 10 can be a binary signal or a larger signal based on bytes or characters. The computer uses a test string (R0) Randomly generate a test file represented as 12. The test string 12 also has a plurality of adjacent digital signals. Next, a match of the randomly generated test string 12 against a portion of the original string 10 is attempted. Test string R, as will now be described in detail.0Are compared to the adjacent digital signals of the original string 10. In the case of a match (the criteria that will be discussed in detail hereinafter), the test string 12 is rejected and the method continues to generate another random test string 12, and the above steps are followed. to continue. If non-match, the test string 12 is retained in the computer protection file 16 or antibody set (R) 16. In a preferred embodiment, the method described so far is continued until a plurality of non-matching test files 12 are stored in the antibody set (R) 16 as computer protected files. .
In order to attempt to compare a plurality of adjacent digital signals of the randomly generated test string 12 to a plurality of adjacent digital signals of the original string 10, the original string 10 first begins with each of the plurality of adjacent digital signals. Can be parsed into multiple adjacent segments or logically decomposed. In the preferred embodiment, the original string 10 is parsed or decomposed into equally sized segments. However, this is not an essential limitation and is merely for convenience. For example, the original string 10 is
00101000100100000100001010010011
Is the 32-bit string described above, it is parsed and decomposed into 8 segments each consisting of 4 adjacent digital bits as follows:
0010 | 1000 | 1001 | 0000 | 0100 | 0010 | 1001 | 0011
When the original string is parsed and decomposed into 8 segments each having 4 adjacent digital bits, each of the randomly generated test strings 12 also has 4 adjacent digital bits in length. become. Test string 12 is then compared to each of the segments by testing each of the digital signals of test string 12 against the digital signal of each segment. Thus, if the test string 12 includes the adjacent digital signal “1000”, a match is found between the test string 12 and the second segment. In that case, the method then continues to randomly generate a different test string 12 and attempt to compare that test string 12 to each of the segments of the original string 10.
If it is found that the randomly generated test string 12 does not match any of the segments of the original string 10, for example, if the test string is “0111”, the test string 12 (R) stored in 16. In a preferred embodiment, another test string 12 is randomly selected until a plurality of test strings 12 that do not match any of the segments of the original string 10 are stored in the antibody set (R) 16. Generated and tested against each segment of the original string 10.
Referring to FIG. 1b, there is shown a flow chart of another method of the present invention, where a plurality of unmatched test strings are found once determined in the method, and an antibody set ( When stored in (R) 16, the antibody set (R) 16 is used to determine whether alterations have occurred in the string 18 being tested. The string 18 being tested has an association with the original string 10 being tested. If no unauthorized intrusion or invasion of the original string or the original computer file 10 has occurred, the string 18 being tested matches the original string 10. However, if the original string 10 has been altered or invaded by a virus or the like since the antibody set (R) 16 was generated, the string 18 to be tested is a variation of the original string 10. The method of the present invention depicted in FIG. 1b determines whether the string 18 being tested is likely to be the original string 10 or a modified variant thereof.
In the preferred embodiment, the string 18 to be tested is also parsed or decomposed into a plurality of segments each consisting of a plurality of adjacent digital signals. Again, in the preferred embodiment, the lengths of the segments are equal and equal to the length of the segments used to generate the antibody set (R) 16. Continuing with the above example, string 18 is parsed and decomposed into 8 segments each 4 bits long. Each test string from antibody set (R) 16, which is 4 bits long, is compared against each of the segments of string 18. If test string 12 from antibody set (R) 16 does not match any of the segments from string 18, the next test string 12 from antibody set (R) 16 is used. This continues until all of the test strings from antibody set (R) 16 have been tested and it is revealed that string 18 is likely to be the same as original string 10.
On the other hand, if any of the test strings from antibody set (R) 16 matches any of the segments of string 18, string 18 does not match original string 10 and It is revealed that a change has occurred.
FIG. 3 shows a schematic diagram of a plurality of computers 20 (A-D) networked. The effect of the method of the present invention will become apparent with reference to FIG. If it is assumed that each computer 20 executes each original computer program or string 10, each computer 20 (A-D) is associated with the associated computer protection in the manner described using FIG. 1a. An antibody set (R) 16 that is different from that generated by the file or other computer 20 is generated. Since each protected file 16 is created based on a randomly generated test string 12, it is linked with the computer 20A and R1The protected file 16 labeled as R is associated with the original string 10 generated by the computer 20B.2Is different from the protected file 16 labeled. Therefore, the protection file 16 linked to the original file 10 is different for each computer 20.
Here, let us assume a virus generated in one of the computer nodes, that is, the computer 20A or an unauthorized command. Furthermore, the computer protection file R linked with the original computer file 10 running on the computer 20A.1Let's assume that the virus command cannot be detected. Furthermore, the virus propagates to the computer 20B along the connection. Because it is the same virus, it affects the original computer file or original string 10 that runs on the computer 20B, just as it did the original string 10 that runs on the computer 20A. Computer protection file or antibody set 16R linked with the original file of the computer 20B2Is different from the computer protection file of the computer 20A.1Even if the virus command cannot be detected, the above test method may detect the presence of the virus by the change in the original computer file 10. Therefore, in order for the virus to enter the entire computer network, the virus is protected by the computer protection file R of the computer 20A.1Not only the protected file R of the computer 20B2, Protection file R of computer 20CThree, Protected file R of computer 20DFourI must overcome it again. As you can see, as the number of computers on the network increases, so does the ability of the virus to avoid detection in response to the increasing number of different protected files on the network. Therefore, in the method of the present invention, detection of a virus command on the original string 10 is a probabilistic decision.
Probability of detection
Since detection is probabilistic, the probabilities for different configurations of the protected file 16 test string and the original string 10 will now be described. Initially, a perfect match between two strings of the same length means that the digital signal (binary signal or a collection of binary signals such as byte or character signals) is the same at each location of the string. It should be noted that. In one embodiment, if a neighbor match of a symbol at the corresponding location occurs, a match will occur. In addition, if the length of the string is l and m is the number of symbols in the alphabet (symbol is binary 1 and in rank 104, m = 2 for the command set from the SPARC processor and for the intermediate value If m = 50), the probability of matching is determined as follows.
If you define the following terms:
NR0= The first number of test strings (before matching)
NR= Number of test strings after matching
NS= Number of segments in the original string
PM= Probability of matching two random strings
f = NSProbability of a random string that does not match any of the original strings
= (1-PM)NS
Pf= NRProbability that the antibody will not detect the command
If PMIs small NSIf is large,
Figure 0003686080
And
Figure 0003686080
N aboveRSolving for
ln Pf= NR ln (1-PM)
Or
Figure 0003686080
f is almost
Figure 0003686080
Because
-PMNS= NS ln (1-PM)
Or
-PM= ln (1-PM)
Or
Figure 0003686080
Therefore, the following formula is obtained.
Figure 0003686080
Or
Figure 0003686080
From this equation, the probability of detection (1-Pf) The first string (NR0), The number of segments of the original string to be protected (NS) And matching rules (PM) Can be predicted. R0Is minimized by selecting a matching rule such as
Figure 0003686080
This can select the desired probability of detection and NSIt shows that the number of antibody strings determined as a function of the size of (number of strings to be protected) can be approximated.
Increased detection probability leads to increased computer cost (R0And because the size of R increases) (a) how fatal one intrusion is, and (b) how much redundancy exists in the system (ie, how many copies of the detection algorithm exist) The probability of desired detection can be selected. Note that the probability of detection increases exponentially with the number of independent detection algorithms. If Nt= If the number of copies of the alcoholism
Figure 0003686080
The values in the table below are the different alphabet sizes, ie, the corresponding r and l values determined from m.
Figure 0003686080
Figure 0003686080
Figure 0003686080
The above table is a rough estimate of the equation. Eventually, the values in the following table were obtained using an accurate formula.
Figure 0003686080
Figure 0003686080
Figure 0003686080
Other examples
FIG. 2a shows a flow chart of another embodiment of the method of the invention shown in FIG. 1a. In the flowchart of FIG. 2a, the original string is listed as 110. A computer executing the method of the present invention generates a random test string 112. An original string 110 similar to the original string 10 shown in FIG. 1a is probed as a plurality of segments. In the preferred embodiment, all of the segments are equivalent to each segment of a plurality of adjacent digital signals. The computer then matches the randomly generated test string 112 with each segment of the original string 110. Eventually, if there is no match, the test string 112 is discarded.
Eventually, when test string 112 matches a segment of original string 110, test string 112 is retained in protected file 116 as part of antibody set (R) 116. The generation of antibody set (R) 116 results in exactly complementary logic of antibody set (R) 16 shown and described in FIG. However, since the test string 112 matches one or more segments of the original string 110, the specific location or locations where the test string 112 matches the original string 110 is also an antibody set (R). 116. Data regarding the number of times the test string 112 matched the segment of the original string 110 must also be recorded in the antibody set (R) 116.
Similar to the flowchart shown in FIG. 2a, the flowchart of FIG. 2b shows the method of the present invention, which is another embodiment of the method shown in the flowchart of FIG. 1b. Once the antibody set (R) file 116 is created, the antibody set (R) file is tested against the string 118. It attempts to match the test string 112 from the antibody set 116 against the string 118 to be tested at each location where the test string 112 from the antibody set 116 is assumed to match against the string 118. Become. If there is no match, the string 118 is not identical to the original string 110 and a change to the original string 110 is detected.
If the test string 112 from the antibody set 116 matches a segment of the string 118, the computer will test the test string 112 for all locations where a match is expected to occur or the number of matches required. Until all the remaining segments are compared. This is because if there are multiple matches, or if only one of the segments of the original string 110 is infected with the virus, the matching test assumes that the test string 112 from the antibody set 116 is the original string 110. This is necessary because all of the matching segments must be compared to ensure that no changes have occurred. If test string 112 from antibody set 116 matches the required number or location of segments of string 118, second test string 112 is retrieved from antibody set 116 and all test strings are searched. Another matching test is performed until 112 is tested. Eventually, every test string 112 matches the segment of string 118 at the required location and number of times, and string 118 becomes highly reliable that it is identical to original string 110.
The advantages of the method of the present invention in that it reliably detects changes in the original file described and shown in FIGS. 2a and 2b apply equally to a network as described and shown in FIG. be able to. Since each computer 20 (AD) in the network generates its own antibody set 116 that is different from the antibody set 116 of the other computer 20, the probability of missing a virus and spreading it throughout the computer network is the computer in the network. It will decrease as the number of increases.
Other considerations
As discussed above, the present invention is not limited to the creation or testing of physical “files”. The use of the term “file” is clearly inadequate to define a collection of digital information that may comprise a collection of binary or higher groupings such as digital signals, character signals, or bytes. is there.
Further, as discussed above, the concept of “match” is not limited to matches that are exactly the same at each location. One example described above is simply “adjacent r matches between signals at corresponding positions in string length l such that r <l”. Another example is simply “r matches between signals at corresponding positions in string length l such that r <l”. This embodiment relaxes the requirement that the match between signals at corresponding positions must be adjacent matches. Other forms of matches include logical equivalents such as complementary forms. Thus, for example, the binary string “0111” is considered a match for “1000”. This is because the two are logically complementary equivalents.
In addition, in the generation of a computer protection file 16 as shown and described in FIG. 1a, a corresponding location, for example a symbol, is matched by keeping a test string 12 that "does not match" the original string 10. Otherwise, the test string 12 need not be rejected. In other words, the computer protection file 16 need not include a plurality of “pure” test strings 12 such that no string has a single symbol that matches the corresponding symbol in the original string 10. . Low level matches can be tolerated.
Thus, in testing each test string 12 of the computer protection file 16 against the string 18 being tested, a low level such as a single symbol match at the corresponding location, as shown and described in FIG. 1b. The match need not result in a declaration that the original string 10 has been changed.
Similarly, in the generation of the computer protection file 116, by holding a test string 112 that "matches" the original string 110, as shown and described in FIG. If it does not match, the test string 112 need not be rejected. In other words, the computer protection file 116 need not include multiple “pure” test strings 112 such that no string has a single symbol that does not match the corresponding symbol in the original string 110. . A low level of non-matching can be tolerated.
In addition, in testing each test string 12 of the computer protection file 16, as shown and described in FIG. 2b, a low level non-match that does not match a single symbol at the corresponding location is There is no need to reach an oath that string 10 has changed.
Thus, as used herein, including the claims, the term “match” is intended to include any of the methods described above, and may include a low level “match” or “non-match” as the case may be. However, it is not limited to these.
The rationale for accepting low-level “match” or “non-match” is that viruses that only produce some changes, such as changes in a single symbol (bit or byte), will not spread. If the virus replicates, many changes will occur and the virus will be detected. A trade-off to allow low-level virus attacks is that the algorithm that protects the original string will run faster but with a reduced protection. This is similar to the low level of viral attack in the human immune system that does not necessarily cause an immune response.
Finally, the generation of the test string 12 or 112 may not occur randomly in the method shown and described in FIGS. 1a and 2b. As long as the next generated test string 12 or 112 is different from the previously generated test string 12 or 112, the method of the present invention will function similarly.

Claims (39)

コンピュータの記憶装置に格納される、第2の複数の連続的なデジタル信号(以下、オリジナルストリングという)を保護するために、前記オリジナルストリングに改変が存在するのかを判断するため、コンピュータの演算装置により前記オリジナルストリングと比較される、第1の複数の連続的なデジタル信号(以下、保護ストリングという)を前記演算装置を用いて生成する保護ストリング生成方法において、
テスト用の複数の連続的なデジタル信号(以下、テストストリングという)を前記演算装置を用いて生成するステップ(a)と、
前記テストストリングが前記オリジナルストリングにマッチするのかを前記演算装置を用いて試すステップ(b)と、
前記ステップ(b)にてマッチするときは、前記テストストリングを捨てて、異なるテストストリングを前記演算装置を用いて生成するために前記ステップ(a)に戻るステップ(c1)と、
前記ステップ(b)にて非マッチであるときは、前記テストストリングを前記記憶装置内の前記保護ストリング内へ前記演算装置を用いて格納するステップ(c2)と
を備えることを特徴とする保護ストリング生成方法。 In order to protect a second plurality of consecutive digital signals (hereinafter referred to as original strings) stored in a computer storage device, it is possible to determine whether there is any alteration in the original strings. A method for generating a protection string using the arithmetic unit to generate a first plurality of continuous digital signals (hereinafter referred to as protection strings) that are compared with the original string by :
Generating a plurality of continuous digital signals for testing (hereinafter referred to as test strings) using the arithmetic unit;
(B) using the computing device to test whether the test string matches the original string;
When matching in step (b) , discarding the test string and returning to step (a) to generate a different test string using the arithmetic unit (c1);
(C2) storing the test string in the protection string in the storage device using the arithmetic unit when there is no match in the step (b);
A protection string generation method comprising: 前記ステップ(c2)は、さらに、前記演算装置を用いてステップ(a)の手順に戻り、複数の非マッチテストストリングが前記記憶装置内の前記保護ストリング内に格納された後、この手順を終了することを特徴とする請求項1記載の保護ストリング生成方法。 The step (c2) further returns to the procedure of the step (a) by using the arithmetic unit, and ends the procedure after a plurality of non-match test strings are stored in the protection string in the storage device. The protection string generation method according to claim 1, wherein: さらに、前記オリジナルストリングをそれぞれ複数の連続的なデジタル信号からなる複数のセグメントに前記演算装置を用いて分解するステップを備えることを特徴とする請求項1記載の保護ストリング生成方法。 Further, the protective string generation method according to claim 1, further comprising a step of decomposing by using the computing device to the original string to each of a plurality of segments comprising a plurality of successive digital signals. 前記マッチを試すステップ(b)は、それぞれのテスト用の複数の連続的なテストストリングが前記オリジナルストリングのそれぞれの前記セグメントの前記複数の連続的なデジタル信号にマッチするのかを前記演算装置を用いて試すことを特徴とする請求項3記載の保護ストリング生成方法。 The step (b) of trying the match uses the arithmetic unit to determine whether a plurality of consecutive test strings for each test match the plurality of consecutive digital signals in each of the segments of the original string. 4. The protection string generation method according to claim 3, wherein the protection string generation method is performed. 前記ステップ(a)にあってテストストリングは前記演算装置を用いてランダムに生成されることを特徴とする請求項1記載の保護ストリング生成方法。 2. The protection string generation method according to claim 1, wherein in the step (a), a test string is randomly generated using the arithmetic device . コンピュータの記憶装置に格納される、第1の複数の連続的なデジタル信号(以下、オリジナルストリングという)の改変を検出するオリジナルストリングの改変検出方法において、
前記記憶装置には前記オリジナルストリングに関連する第2の複数の連続的なデジタル信号(保護ストリングという)を有し、
前記保護ストリングは複数のテストストリングを有し、
それぞれの前記テストストリングは、前記保護ストリングが作成されたときには前記オリジナルストリングに非マッチの複数の連続的なデジタル信号を有し、
前記保護ストリング一つの前記テストストリングの複数の連続的なデジタル信号を前記オリジナルストリングの複数の連続的なデジタル信号と前記コンピュータの演算装置を用いて比較するステップ(a)と、
前記ステップ(a)にて非マッチであるときは、前記演算装置を用いて前記保護ストリング内の前記全てのテストストリングが試験されるまで前記ステップ(a)の手順に戻り、かつ、異なるテストストリングを選択するステップ(b1)と、
前記ステップ(a)にて前記テストストリングとオリジナルストリングとの間にマッチがあるときは、前記手順を終わらせ前記演算装置を用いて前記オリジナルストリングに改変が存在すると判断するステップ(b2)と
を備えることを特徴とするオリジナルストリングの改変を検出するオリジナルストリングの改変検出方法。 In an original string alteration detection method for detecting alteration of a first plurality of continuous digital signals (hereinafter referred to as original strings) stored in a computer storage device ,
The storage device has a second plurality of continuous digital signals (referred to as protection strings) associated with the original string ;
The protection string has a plurality of test strings;
Each of the test strings has a plurality of consecutive digital signals that do not match the original string when the protection string is created;
And step (a) to compare with the arithmetic unit of a plurality of successive digital signal with the computer of the plurality of successive digital signal the original string of the test string of one of said protection string,
When said a non-match in step (a), the process returns to the procedure of step (a) until all said test string of protective string using the operation device is tested, and different test string Selecting step (b1);
When there is a match between the test string and the original string in the step (a) , the procedure is terminated , and a step (b2) for determining that the original string is altered using the arithmetic unit ;
An original string alteration detection method for detecting alteration of an original string, comprising : 前記記憶装置に格納される前記保護ストリングは、それぞれ複数の連続的なデジタル信号からなる複数のセグメントに分解されることを特徴とする請求項6記載のオリジナルストリングの改変検出方法。The protective string modified method for detecting the original string according to claim 6, characterized in that it is decomposed into a plurality of segments, each comprising a plurality of successive digital signals stored in the storage device. 前記比較ステップ(a)は、前記保護ストリングの一つのテストストリングの複数の連続的なデジタル信号を、前記オリジナルストリングのそれぞれのセグメントの複数の連続的なデジタル信号と前記演算装置を用いて比較することを特徴とする請求項7記載のオリジナルストリングの改変検出方法。It said comparing step (a) is a continuous digital signal of multiple one test string of the protective string, using the computing device and a plurality of successive digital signals of the respective segments of the original string comparison The original string alteration detection method according to claim 7, wherein: コンピュータの記憶装置に格納される、第1の複数の連続的なデジタル信号(以下、オリジナルストリングという)を保護するオリジナルストリングの保護方法において、
第2の複数の連続的なデジタル信号(以下、テストストリングという)を前記コンピュータの演算装置を用いて生成するステップ(a)と、
前記テストストリングの前記第2の複数の連続的なデジタル信号を、前記オリジナルストリングの前記複数の連続的なデジタル信号と前記演算装置を用いて比較するステップ(b)と、
前記比較ステップ(b)の比較の結果、前記テストストリングの前記第2の複数の連続的なデジタル信号と、前記オリジナルストリングの前記第1の複数の連続的なデジタル信号とがマッチするときは前記演算装置を用いて異なるテストストリングに関して前記ステップ(a)の手順へ戻るステップ(c1)と、
前記比較ステップ(b)の比較の結果が非マッチであるときは、前記演算装置を用いて前記テストストリングを前記記憶装置内の前記保護ストリングに格納すると共に、前記保護ストリングに複数の非マッチテストストリングが格納されるまで前記ステップ(a)の手順に戻るステップ(c2)と、
前記保護ストリングの一つのテストストリングの複数の連続的なデジタル信号を、前記オリジナルストリングの複数の連続的なデジタル信号と前記演算装置を用いて比較するステップ(d)と、
前記比較ステップ(d)の比較の結果が非マッチであるときには、前記演算装置を用いて前記保護ストリングに格納された全てのテストストリングがテストされるまで、前記ステップ(d)戻り、かつ異なるテストストリングを選択するステップ(e1)と、
前記比較ステップ(d)の比較の結果、前記テストストリングと前記オリジナルストリングとがマッチするときは、前記演算装置を用いて前記手順を終わらせて、オリジナルストリングに改変が存在することを判断するステップ(e2)と
備えることを特徴とするオリジナルストリングの保護方法。 In a method for protecting an original string for protecting a first plurality of continuous digital signals (hereinafter referred to as original strings) stored in a storage device of a computer ,
Generating a second plurality of continuous digital signals (hereinafter referred to as test strings) using the computing device of the computer ;
Said second plurality of successive digital signal of the test string, the step (b) compared using the arithmetic unit and the plurality of successive digital signal of the original string,
Results of comparison of the comparing step (b), when the said second plurality of successive digital signal of the test string, and a first plurality of successive digital signal of the original string to match, wherein the step of returning to the procedure of for different test string by using an arithmetic unit step (a) and (c1),
When the comparison result of the comparison step (b) is non-matching , the test string is stored in the protection string in the storage device using the arithmetic unit, and a plurality of non-match tests are performed on the protection string. Returning to the procedure of step (a) until the string is stored (c2);
A continuous digital signal of multiple one test string of the protective string, the step (d) to compare with the computing device and a plurality of successive digital signal of the original string,
When the result of comparison of the comparing step (d) is a non-match, until said computing device all test string stored in the protected string using is tested, the process returns to the step (d), and different Selecting a test string (e1);
Comparison of the results of the comparison step (d), when the test string and said original string matches, the step of determining that to end the procedure using the computing device, is modified in the original string is present (E2) and An original string protection method comprising: さらに、前記オリジナルストリングを、それぞれ複数の連続的なデジタル信号からなる複数の連続的なセグメントに前記演算装置を用いて分解するステップを備えることを特徴とする請求項9記載のオリジナルストリングの保護方法。10. The method of protecting an original string according to claim 9 , further comprising the step of decomposing the original string into a plurality of continuous segments each consisting of a plurality of continuous digital signals using the arithmetic unit. . 前記比較ステップ(b)は、前記テストストリングの、前記第2の複数の連続的なデジタル信号前記オリジナルストリングの前記セグメントの各々の、前記複数の連続的なデジタル信号とマッチを前記演算装置を用いて試すことを特徴とする請求項10記載のオリジナルストリングの保護方法。Said comparing step (b), the test string, said each of said segments of the second plurality of successive digital signal and the original string, the computing device match with the plurality of successive digital signal The method for protecting an original string according to claim 10, wherein the original string is tried using . 前記比較ステップ(d)は、前記テストストリングの前記第2の複数の連続的なデジタル信号前記オリジナルストリング前記各セグメントの各々の、前記複数の連続的なデジタル信号とのマッチを前記演算装置を用いて試すことを特徴とする請求項10記載のオリジナルストリングの保護方法。Said comparing step (d) is said each of said segments of said second plurality of contiguous digital signal and the original string test string, the computing device match with the plurality of successive digital signal The method for protecting an original string according to claim 10, wherein the original string is tried using . 前記テストストリングは前記演算装置を用いてランダムに生成されることを特徴とする請求項9記載のオリジナルストリングの保護方法。The test string is a method of protecting the original string of claim 9, wherein the randomly generated using the arithmetic unit. 複数のコンピュータに格納される、複数の同一のオリジナルコンピュータファイルを保護するためのコンピュータファイル保護方法において、
それぞれの前記オリジナルコンピュータファイルは複数の連続的なデジタル信号を有しており、各コンピュータにて、
テスト用の複数の連続的なデジタル信号(以下、テストストリングという)をランダムにコンピュータの演算装置を用いて生成するステップ(a)と、
前記テストストリングの前記テスト用の複数の連続的なデジタル信号を前記オリジナルコンピュータファイルの前記複数の連続的なデジタル信号と前記演算装置を用いて比較するステップ(b)と、
前記比較ステップ(b)の比較の結果、前記テストストリングの前記複数の連続的なデジタル信号前記オリジナルコンピュータファイルの前記複数の連続的なデジタル信号とがマッチするときは、前記演算装置を用いて前記ステップ(a)に戻るステップ(c1)と、
前記比較ステップ(b)の比較の結果が非マッチであるときは、前記演算装置を用いて前記テストストリングをコンピュータ保護ファイルに格納し、さらに前記コンピュータ保護ファイルに複数の非マッチテストストリングが格納されるまで前記ステップ(a)の手順に戻るステップ(c2)と、
前記コンピュータ保護ファイルの一つのテストストリングの複数の連続的なデジタル信号をオリジナルコンピュータファイルの複数の連続的なデジタル信号と前記演算装置を用いて比較するステップ(d)と、
前記比較ステップ(d)の比較の結果が非マッチであるときには、前記演算装置を用いて前記コンピュータ保護ファイルの全ての前記テストストリングがテストされるまで前記ステップ(d)に戻り、かつ異なるテストストリングを選択するステップ(e1)と、
前記比較ステップ(d)の比較の結果、前記テストストリングと前記オリジナルコンピュータファイルとがマッチするときは、前記演算装置を用いて前記手順を終わらせ、前記オリジナルコンピュータファイルに改変が存在することを判断するステップ(e2)と
を備えることを特徴とするコンピュータファイル保護方法。In a computer file protection method for protecting a plurality of identical original computer files stored in a plurality of computers ,
Each of the original computer file has a plurality of successive digital signals at each computer,
A step (a) of randomly generating a plurality of continuous digital signals for testing (hereinafter referred to as test strings) using a computing device of a computer;
And step (b) compared using the computing device a plurality of successive digital signals of the plurality of successive digital signal of the original computer files for the testing of the test string,
As a result of the comparison in the comparison step (b), when the plurality of continuous digital signals of the test string match the plurality of continuous digital signals of the original computer file , the arithmetic unit is used. Returning to step (a) (c1);
When the comparison result of the comparison step (b) is non-matching, the test string is stored in a computer protection file using the arithmetic unit, and a plurality of non-matching test strings are stored in the computer protection file. Step (c2) to return to the procedure of step (a) until
And step (d) to compare with the computing device and a plurality of successive digital signals of the original computer file multiple successive digital signal of one test string of the computer protected file,
When the comparison result of comparison of step (d) is a non-match, the process returns to the step (d) until the test string of all the hands of the computer protection file by using the operation device is tested, and different test Selecting a string (e1) ;
Comparison of the results of the comparison step (d), when the test string and said original computer file matches may determine that the procedure ended and there is a modification to the original computer file using the arithmetic unit Step (e2)
A computer file protection method comprising: さらに、前記オリジナルコンピュータファイルを、それぞれ複数の連続的なデジタル信号からなる複数の連続的なセグメントに前記演算装置を用いて分解するステップを備えることを特徴とする請求項14記載のコンピュータファイル保護方法。15. The computer file protection method according to claim 14, further comprising the step of decomposing the original computer file into a plurality of continuous segments each consisting of a plurality of continuous digital signals using the arithmetic unit. . 前記比較ステップ(b)は、前記テストストリングのテスト用の複数の連続的なデジタル信号前記オリジナルコンピュータファイルの前記セグメントの各々の複数の連続的なデジタル信号とのマッチを前記演算装置を用いて試すことを特徴とする請求項15記載のコンピュータファイルの保護方法。Said comparing step (b) is a match with a plurality of successive digital signal of each of said segments of said original computer file and a plurality of successive digital signals for testing of the test string with the computing device the method of protecting a computer file of claim 15, wherein the test Te. 前記比較ステップ(d)は、前記コンピュータ保護ファイルの一つのテストストリングのテスト用の複数の連続的なデジタル信号前記オリジナルコンピュータファイルの前記各セグメントの各々の複数の連続的なデジタル信号とを前記演算装置を用いて比較することを特徴とする請求項15記載のコンピュータファイルの保護方法。It said comparing step (d) is the one of the test string and a plurality of said plurality of successive digital signal of each of the segments of a continuous digital signal and the original computer files for testing of the computer protection file The computer file protection method according to claim 15, wherein the comparison is performed using an arithmetic device . 前記複数のコンピュータは、ネットワークに相互接続されていることを特徴とする請求項14記載のコンピュータファイルの保護方法。The computer file protection method according to claim 14 , wherein the plurality of computers are interconnected to a network. コンピュータの記憶装置に格納される、第2の複数の連続的なデジタル信号(以下、オリジナルストリングという)を保護するために、前記オリジナルストリングに改変が存在するのかを判断するため、コンピュータの演算装置により前記オリジナルストリングと比較される、第1の複数の連続的なデジタル信号(以下、保護ストリングという)を生成する保護ストリング生成方法において
前記オリジナルストリングの前記複数の連続的なデジタル信号よりも少ない数のテスト用の複数の連続的なデジタル信号(以下、テストストリングという)を前記演算装置を用いて生成するステップ(a)と、
前記テストストリングの前記テスト用の複数の連続的なデジタル信号と前記オリジナルストリングの前記第2の複数の連続的なデジタル信号とのマッチを前記演算装置を用いて試すステップ(b)と、
前記ステップ(b)の結果が非マッチであるときには、前記演算装置を用いて前記テストストリングを破棄し、かつ異なるテストストリングに関して前記ステップ(a)に戻るステップ(c1)と、
前記ステップ(b)の結果がマッチであるときには、前記演算装置を用いて前記テストストリングを前記記憶装置内の前記保護ストリングに格納するステップ(c2)
を備えることを特徴とする保護ストリングの生成方法。 In order to protect a second plurality of consecutive digital signals (hereinafter referred to as original strings) stored in a computer storage device, it is possible to determine whether there is any alteration in the original strings. In a protection string generating method for generating a first plurality of continuous digital signals (hereinafter referred to as protection strings) that are compared with the original string by :
Wherein the original string plurality of successive plurality of successive digital signals for the number of tests is less than the digital signal (hereinafter, referred to as the test string) and step (a) generated by using the operation device,
And step (b) to try matching the plurality of successive digital signal and said second plurality of successive digital signal of the original string for the test of the test string with the computing device,
When the result of step (b) is non-matching, discarding the test string using the arithmetic unit and returning to step ( a) for a different test string; (c1) ;
(C2) storing the test string in the protection string in the storage device using the arithmetic unit when the result of the step (b) is a match ;
A method for generating a protection string, comprising : 前記ステップ(c2)は、さらに、前記演算装置を用いてステップ(a)の前記手順に戻り、複数のマッチテストストリングが前記保護ストリングに格納された後前記手順を終了することを特徴とする請求項19記載の保護ストリングの生成方法。 Characterized in that said step (c2) is further returned to the procedure of step (a) using the arithmetic unit, after the plurality of map Tchite strike string stored in the protected string, terminating the procedure The method for generating a protection string according to claim 19. さらに、前記オリジナルストリングを、それぞれ複数の連続的なデジタル信号からなる複数のセグメントに前記演算装置を用いて分解するステップを備えることを特徴とする請求項19記載の保護ストリング生成方法。20. The protection string generating method according to claim 19, further comprising the step of decomposing the original string into a plurality of segments each consisting of a plurality of continuous digital signals using the arithmetic unit . 前記マッチを試すステップ(b)は、前記テストストリングの前記テスト用の複数の連続的なテストストリングが前記オリジナルストリングのそれぞれの前記セグメントの前記複数の連続的なデジタル信号にマッチするのかを前記演算装置を用いて試すことを特徴とする請求項21記載の保護ストリング生成方法。The step of trying the match (b) comprises calculating whether the plurality of consecutive test strings for the test string match the plurality of consecutive digital signals in each of the segments of the original string. The protection string generation method according to claim 21 , wherein the protection string generation is performed using an apparatus . 前記格納ステップ(c2)は、さらに、前記テストストリングが前記オリジナルストリングマッチした前記オリジナルストリングの前記第2の複数の連続的なデジタル信号内の位置のロケーションを前記演算装置を用いて前記記憶装置に格納することを特徴とする請求項19記載の保護ストリング生成方法。Said storing step (c2) is further said storage device the location position within said second plurality of successive digital signal of the original string the test string matches with the original string using the operation device protection string generation method of claim 19, wherein the storing in. 前記ステップ(a)にあってテストストリングランダムに前記演算装置を用いて生成されることを特徴とする請求項19記載の保護ストリング生成方法。20. The protection string generation method according to claim 19, wherein in the step (a), a test string is randomly generated using the arithmetic device . コンピュータの記憶装置に格納される、第1の複数の連続的なデジタル信号(以下、オリジナルストリングという)の改変を検出するオリジナルストリングの改変検出方法において、
前記オリジナルストリングに関連する第2の複数の連続的なデジタル信号(以下、保護ストリングという)を前記記憶装置に有し、
前記保護ストリングは複数のテストストリングを有し、
前記保護ストリングが前記演算装置を用いて生成されたとき、前記オリジナルストリングの複数の連続的なデジタル信号の一部分にマッチする方法であり
前記保護ストリングの一つのテストストリングの複数の連続的なデジタル信号を、前記オリジナルストリングの複数の連続的なデジタル信号と前記演算装置を用いて比較するステップ(a)と、
前記比較ステップ(a)の比較がマッチであるときは、前記演算装置を用いて前記ステップ(a)の手順に戻り、前記保護ストリング前記全てのテストストリングがテストされるまで異なるテストストリングを選択するステップ(b1)と、
前記比較ステップ(a)の比較結果が前記テストストリングとオリジナルストリングが非マッチであるときは、前記演算装置を用いて前記手順を終了し、オリジナルストリングに改変が存在すると判断するステップ(b2)
を備えることを特徴とするオリジナルストリングの改変検出方法。 In an original string alteration detection method for detecting alteration of a first plurality of continuous digital signals (hereinafter referred to as original strings) stored in a computer storage device ,
A second plurality of continuous digital signals (hereinafter referred to as protection strings) associated with the original string in the storage device ;
The protection strings have a plurality of test string,
When the protective string is generated using the arithmetic unit, a method of matching a portion of a plurality of successive digital signal of the original string,
A plurality of successive digital signals of one test string of the protective string, the step (a) to compare with the computing device and a plurality of successive digital signal of the original string,
When the comparison of the comparing step (a) is a match, the process returns to the procedure of step (a) using the computing device, the different test string until all test string is tested in the protective string Selecting step (b1) ;
When the comparison result of the comparison step (a) is that the test string and the original string do not match, the procedure is ended using the arithmetic unit and it is determined that the original string is altered (b2) ;
An alteration detection method for an original string, comprising : 前記保護ストリングは、それぞれ複数の連続的なデジタル信号からなる複数のセグメントに前記演算装置を用いて分解されることを特徴とする請求項25記載のオリジナルストリングの改変検出方法。The protective string modified method for detecting the original string of claim 25, wherein be digested with each of the computing device into a plurality of segments comprising a plurality of successive digital signals. 前記比較ステップ(a)は、前記保護ストリングの一つのテストストリングの複数の連続的なデジタル信号を、前記オリジナルストリングのそれぞれのセグメント複数の連続的なデジタル信号と前記演算装置を用いて比較することを特徴とする請求項26記載のオリジナルストリングの改変検出方法。Said comparing step (a), a plurality of successive digital signals of one test string of the protective string comparison using the computing device and a plurality of successive digital signals of the respective segments of the original string 27. The original string alteration detection method according to claim 26. コンピュータの記憶装置に格納された複数の連続的なデジタル信号を有するオリジナルコンピュータファイルを保護するコンピュータファイル保護方法において、
前記オリジナルコンピュータファイルの前記複数の連続的な信号よりも少ない数の、複数の連続的なデジタル信号を持つテストストリングをコンピュータの演算装置を用いて生成するステップ(a)と、
前記テストストリングの前記複数の連続的なデジタル信号を前記オリジナルコンピュータファイルの前記複数の連続的なデジタル信号と前記演算装置を用いて比較するステップ(b)と、
前記比較ステップ(b)の比較の結果が、前記テストストリングの前記複数の連続的なデジタル信号と前記オリジナルコンピュータファイルの前記複数の連続的なデジタル信号とが非マッチであるときには、異なるテストストリングに関して前記演算装置を用いて前記ステップ(a)に戻るステップ(c1)と、
前記比較ステップ(b)の比較の結果がマッチであるときには、前記演算装置を用いて前記テストストリングを前記記憶装置内の前記保護ファイルに格納し、複数のマッチテストストリングが前記保護ファイルに格納されるまでステップ(a)に戻るステップ(c2)と、
前記保護ファイルの一つのテストストリングの複数の連続的なデジタル信号を前記オリジナルコンピュータファイルの複数の連続的なデジタル信号と前記演算装置を用いて比較するステップ(d)と、
前記比較ステップ(d)の比較の結果がマッチであるときには、前記保護ファイルの全ての前記テストストリングがテストされるまで前記演算装置を用いて前記ステップ(d)に戻り、かつ異なるテストストリングを選択するステップ(e1)と、
前記テストストリングとオリジナルコンピュータファイルとが非マッチであれば、前記演算装置を用いて前記手順を終了し、前記オリジナルコンピュータファイルに改変が存在することを判断するステップ(e2)
を備えることを特徴とするコンピュータファイル保護方法。 In a computer file protection method for protecting an original computer file having a plurality of continuous digital signals stored in a computer storage device ,
The original computer file said plurality of number of less than continuous signal, and step (a) to produce by using an arithmetic unit testing string computer with multiple continuous digital signals,
And step (b) compared using the arithmetic unit and the plurality of successive digital signal of the original computer file said plurality of successive digital signal of the test string,
Results of comparison of the comparing step (b), when the plurality of successive digital signals of said plurality of successive digital signal of the test string and the original computer files and is non-match, the different test string (C1) returning to step ( a) using the arithmetic unit
When the comparison result of the comparison step (b) is a match, the test string is stored in the protection file in the storage device using the arithmetic unit, and a plurality of match test strings are stored in the protection file. Step (c2) returning to step (a) until
And step (d) to compare with the computing device and a plurality of successive digital signals of said plurality of successive digital signals of one test string original computer file of the protected file,
If the result of the comparison in the comparison step (d) is a match, return to step (d) using the arithmetic unit until all the test strings of the protected file have been tested, and select a different test string Performing step (e1) ;
If the test string and the original computer file do not match, end the procedure using the computing device and determine that the original computer file is altered (e2) ;
A computer file protection method comprising: さらに、前記オリジナルコンピュータファイルを、それぞれ複数の連続的なデジタル信号からなる複数の連続的なセグメントに前記演算装置を用いて分解するステップを備えることを特徴とする請求項28記載のコンピュータファイル保護方法。29. The computer file protection method according to claim 28, further comprising the step of decomposing the original computer file into a plurality of continuous segments each consisting of a plurality of continuous digital signals using the arithmetic unit. . 前記比較ステップ(b)は、前記テストストリングの複数の連続的なデジタル信号と前記オリジナルコンピュータファイルの前記各セグメントの各々の複数の連続的なデジタル信号とのマッチを前記演算装置を用いて試すことを特徴とする請求項29記載のコンピュータファイルの保護方法。The comparison step (b) uses the arithmetic unit to test a match between a plurality of continuous digital signals of the test string and a plurality of continuous digital signals of each segment of the original computer file. 30. The method of protecting computer files according to claim 29. 前記比較ステップ(d)は、前記テストストリング複数の連続的なデジタル信号前記オリジナルコンピュータファイルの前記各セグメントの各々の複数の連続的なデジタル信号とのマッチを前記演算装置を用いて試すことを特徴とする請求項29記載のコンピュータファイルの保護方法。Said comparing step (d) is to try to match with a plurality of successive digital signal of each of said segments of said original computer file and a plurality of successive digital signal of the test string with the computing device 30. The method of protecting computer files according to claim 29. 前記格納ステップ(c2)は、さらに、前記テストストリングが前記オリジナルコンピュータファイルとマッチした前記オリジナルコンピュータファイルの前記複数の連続的なデジタル信号の位置のロケーションを前記演算装置を用いて前記記憶装置に格納することを特徴とする請求項32記載のコンピュータファイルの保護方法。It said storing step (c2) further location position within said plurality of contiguous digital signal of the original computer file, wherein the test string matches with the original computer files in said storage device using said computing device The computer file protection method according to claim 32, wherein the computer file is stored. 前記ステップ(a)にあってテストストリングはランダムに前記演算装置を用いて生成されることを特徴とする請求項28記載のコンピュータファイルの保護方法。 29. The computer file protection method according to claim 28, wherein in the step (a), a test string is randomly generated using the arithmetic device . 複数のコンピュータに格納された複数の同一のオリジナルコンピュータファイルを保護するためのコンピュータファイル保護方法において、
前記オリジナルコンピュータファイルの各々は複数の連続的なデジタル信号を有しており、各コンピュータにて、
前記オリジナルコンピュータファイルの前記複数の連続的な信号よりも少ない数の、複数の連続的なデジタル信号を持つテストストリングをランダムに前記コンピュータの演算装置を用いて生成するステップ(a)と、
前記テストストリングの前記複数の連続的なデジタル信号を前記オリジナルコンピュータファイルの前記複数の連続的なデジタル信号と前記演算装置を用いて比較するステップ(b)と、
前記比較ステップ(b)にあって前記テストストリングの前記複数の連続的なデジタル信号と前記オリジナルコンピュータファイルの前記複数の連続的なデジタル信号とが非マッチであるとき、前記演算装置を用いて前記ステップ(a)の手順に戻るステップ(c1)と、
前記比較ステップ(b)の比較結果がマッチであるときには、前記テストストリングをコンピュータの記憶装置内の保護ファイルに前記演算装置を用いて格納し、複数のマッチテストストリングが前記コンピュータ保護ファイルに格納されるまでステップ(a)に戻るステップ(c2)と、
前記コンピュータ保護ファイルの一つのテストストリングの複数の連続的なデジタル信号を前記オリジナルコンピュータファイルの連続的なデジタル信号と前記演算装置を用いて比較するステップ(d)と、
前記比較ステップ(d)の比較の結果がマッチであるときには、前記コンピュータ保護ファイルの全ての前記テストストリングテストされるまで、前記演算装置を用いて前記ステップ(d)の手順に戻り、かつ異なるテストストリングを選択するステップ(e1)と、
前記テストストリングと前記オリジナルコンピュータファイルとが非マッチであれば、前記演算装置を用いて前記手順を終了し、前記オリジナルコンピュータファイルに改変が存在することを判断するステップ(e2)
備えることを特徴とするコンピュータファイル保護方法。In a computer file protection method for protecting a plurality of identical original computer files stored in a plurality of computers ,
Each of the original computer file has a plurality of successive digital signals at each computer,
And step (a) to produce by using an arithmetic unit of the original computer number less than said plurality of continuous signal of files, the test string having a plurality of successive digital signals into random computer,
And step (b) compared using the arithmetic unit and the plurality of successive digital signal of the original computer file said plurality of successive digital signal of the test string,
When a plurality of successive digital signal of the said plurality of successive digital signal of the test string be in the comparing step (b) the original computer file is non-match, the using the arithmetic unit Returning to the procedure of step (a) ( c1 );
When the comparison result of the comparison step (b) is a match, the test string is stored in a protection file in a computer storage device using the arithmetic unit, and a plurality of match test strings are stored in the computer protection file. Step (c2) returning to step (a) until
And step (d) compared using a continuous digital signal of the operational unit of said plurality of successive digital signals of one test string original computer file of the computer protected file,
If the result of the comparison in the comparison step (d) is a match, return to the procedure of the step (d) using the arithmetic device until all the test strings of the computer-protected file are tested, and different Selecting a test string (e1) ;
If the original computer files and non-match between the test string, the arithmetic unit terminates the procedure using a comprise a scan and step (e2) to determine the presence of alterations to the original computer file A computer file protection method characterized by the above . さらに、前記オリジナルコンピュータファイルを、それぞれ複数の連続的なデジタル信号からなる複数の連続的なセグメントに前記演算装置を用いて分解するステップを備えることを特徴とする請求項34記載のコンピュータファイル保護方法。35. The computer file protection method according to claim 34, further comprising the step of decomposing the original computer file into a plurality of continuous segments each consisting of a plurality of continuous digital signals using the arithmetic unit. . 前記比較ステップ(b)は、前記テストストリングのテスト用の複数の連続的なデジタル信号前記オリジナルコンピュータファイルの各セグメントの各々の複数の連続的なデジタル信号とのマッチを前記演算装置を用いて試すことを特徴とする請求項35記載のコンピュータファイルの保護方法。Said comparing step (b) is a match with a plurality of successive digital signal of each of the segments of the original computer file with a plurality of successive digital signals for testing of the test string with the computing device 36. A method of protecting computer files according to claim 35, wherein the method is tried. 前記比較ステップ(d)は、前記テストストリングのテスト用の複数の連続的なデジタル信号と前記オリジナルコンピュータファイルの前記各セグメントの各々の複数の連続的なデジタル信号とのマッチを前記演算装置を用いて試すことを特徴とする請求項35記載のコンピュータファイルの保護方法。The comparison step (d) uses the arithmetic unit to match a plurality of continuous digital signals for testing the test string with a plurality of continuous digital signals of each segment of the original computer file. 36. The method of protecting computer files according to claim 35, wherein: 前記複数のコンピュータはネットワーク相互接続されていることを特徴とする請求項34記載のコンピュータファイルの保護方法。Wherein the plurality of computers, a method of protecting a computer file of claim 34, wherein the are network interconnected. 前記格納ステップ(c2)は、さらに前記テストストリングが前記オリジナルコンピュータファイルとマッチした前記オリジナルコンピュータファイルの前記複数の連続的なデジタル信号内の位置のロケーションを前記演算装置を用いて前記記憶装置に格納することを特徴とする請求項34記載のコンピュータファイルの保護方法。The storing step (c2) further stores the location of the position in the plurality of continuous digital signals of the original computer file in which the test string matches the original computer file in the storage device using the arithmetic unit. 35. The method of protecting computer files according to claim 34.
JP50408795A 1993-07-08 1994-07-01 Modification detection method for digital signal aggregate Expired - Lifetime JP3686080B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US08/089,014 US5448668A (en) 1993-07-08 1993-07-08 Method of detecting changes to a collection of digital signals
US08/089,014 1993-07-08
PCT/US1994/007480 WO1995002293A1 (en) 1993-07-08 1994-07-01 A method of detecting changes to a collection of digital signals

Publications (2)

Publication Number Publication Date
JPH09502550A JPH09502550A (en) 1997-03-11
JP3686080B2 true JP3686080B2 (en) 2005-08-24

Family

ID=22214930

Family Applications (1)

Application Number Title Priority Date Filing Date
JP50408795A Expired - Lifetime JP3686080B2 (en) 1993-07-08 1994-07-01 Modification detection method for digital signal aggregate

Country Status (5)

Country Link
US (2) US5448668A (en)
EP (1) EP0707765A4 (en)
JP (1) JP3686080B2 (en)
TW (1) TW274594B (en)
WO (1) WO1995002293A1 (en)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5572590A (en) * 1994-04-12 1996-11-05 International Business Machines Corporation Discrimination of malicious changes to digital information using multiple signatures
EP0826181A4 (en) 1995-04-11 2005-02-09 Kinetech Inc Identifying data in a data processing system
JP4162099B2 (en) 1995-06-02 2008-10-08 富士通株式会社 Device having function to cope with virus infection and storage device thereof
US5889943A (en) * 1995-09-26 1999-03-30 Trend Micro Incorporated Apparatus and method for electronic mail virus detection and elimination
US5623600A (en) * 1995-09-26 1997-04-22 Trend Micro, Incorporated Virus detection and removal apparatus for computer networks
AU1206097A (en) * 1995-12-28 1997-07-28 Eyal Dotan Method for protecting executable software programs against infection by software viruses
US5822517A (en) * 1996-04-15 1998-10-13 Dotan; Eyal Method for detecting infection of software programs by memory resident software viruses
US5951698A (en) * 1996-10-02 1999-09-14 Trend Micro, Incorporated System, apparatus and method for the detection and removal of viruses in macros
US6466923B1 (en) 1997-05-12 2002-10-15 Chroma Graphics, Inc. Method and apparatus for biomathematical pattern recognition
US6178536B1 (en) * 1997-08-14 2001-01-23 International Business Machines Corporation Coding scheme for file backup and systems based thereon
US7210041B1 (en) * 2001-04-30 2007-04-24 Mcafee, Inc. System and method for identifying a macro virus family using a macro virus definitions database
US20030009687A1 (en) * 2001-07-05 2003-01-09 Ferchau Joerg U. Method and apparatus for validating integrity of software
US7320142B1 (en) * 2001-11-09 2008-01-15 Cisco Technology, Inc. Method and system for configurable network intrusion detection
US20030204731A1 (en) * 2002-04-29 2003-10-30 Pochuev Denis A. Method and apparatus to enhance the security of data
US7269757B2 (en) * 2003-07-11 2007-09-11 Reflectent Software, Inc. Distributed computer monitoring system and methods for autonomous computer management
KR100544478B1 (en) * 2003-12-01 2006-01-24 삼성전자주식회사 Device, system and method of authorizing to print information according to security level
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
US8272058B2 (en) 2005-07-29 2012-09-18 Bit 9, Inc. Centralized timed analysis in a network security system
US7895651B2 (en) 2005-07-29 2011-02-22 Bit 9, Inc. Content tracking in a network security system
KR101194746B1 (en) * 2005-12-30 2012-10-25 삼성전자주식회사 Method of and apparatus for monitoring code for intrusion code detection
US8185576B2 (en) 2006-03-14 2012-05-22 Altnet, Inc. Filter for a distributed network
KR101303643B1 (en) 2007-01-31 2013-09-11 삼성전자주식회사 Apparatus for detecting intrusion code and method using the same
GB0822619D0 (en) 2008-12-11 2009-01-21 Scansafe Ltd Malware detection
WO2013128428A2 (en) 2012-03-02 2013-09-06 Universidade De Aveiro Method and system for the detection of anomalous sequences in a digital signal

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0218830B1 (en) * 1985-09-09 1992-04-29 Hitachi, Ltd. A memory test apparatus
JP2527935B2 (en) * 1986-05-19 1996-08-28 株式会社 アドバンテスト Semiconductor memory test equipment
US5212697A (en) * 1988-09-13 1993-05-18 Ricoh Company, Ltd. Variable length character string detection apparatus
US5121345A (en) * 1988-11-03 1992-06-09 Lentz Stephen A System and method for protecting integrity of computer data and software
DE3912660C1 (en) * 1989-04-18 1990-08-30 Wandel & Goltermann Gmbh & Co, 7412 Eningen, De
US5054035A (en) * 1989-12-21 1991-10-01 At&T Bell Laboratories Digital signal quality evaluation circuit using synchronization patterns
US5319776A (en) * 1990-04-19 1994-06-07 Hilgraeve Corporation In transit detection of computer virus with safeguard
JPH0440125A (en) * 1990-06-06 1992-02-10 Advantest Corp Pattern synchronizing circuit
US5408642A (en) * 1991-05-24 1995-04-18 Symantec Corporation Method for recovery of a computer program infected by a computer virus
NL9101181A (en) * 1991-07-05 1993-02-01 Nederland Ptt Method and device for detecting one or more known character strings in a collection of characters
US5278901A (en) * 1992-04-30 1994-01-11 International Business Machines Corporation Pattern-oriented intrusion-detection system and method
WO1993025024A1 (en) * 1992-05-26 1993-12-09 Cyberlock Data Intelligence, Inc. Computer virus monitoring system

Also Published As

Publication number Publication date
EP0707765A1 (en) 1996-04-24
US5448668A (en) 1995-09-05
TW274594B (en) 1996-04-21
EP0707765A4 (en) 1999-12-29
WO1995002293A1 (en) 1995-01-19
JPH09502550A (en) 1997-03-11
USRE36417E (en) 1999-11-30

Similar Documents

Publication Publication Date Title
JP3686080B2 (en) Modification detection method for digital signal aggregate
JP4855400B2 (en) Method and system for multi-pattern search
US5822517A (en) Method for detecting infection of software programs by memory resident software viruses
Cozzie et al. Digging for Data Structures.
US6980992B1 (en) Tree pattern system and method for multiple virus signature recognition
US8578498B2 (en) Virus localization using cryptographic hashing
US8713686B2 (en) System and method for reducing antivirus false positives
Forrest et al. Self-nonself discrimination in a computer
Liu et al. A fast string-matching algorithm for network processor-based intrusion detection system
US5440723A (en) Automatic immune system for computers and computer networks
US5473769A (en) Method and apparatus for increasing the speed of the detecting of computer viruses
US8375450B1 (en) Zero day malware scanner
AU2010263263B2 (en) Fuzzy hash algorithm
US20050262567A1 (en) Systems and methods for computer security
EP0852763A1 (en) Polymorphic virus detection module
EP1977523A2 (en) Forgery detection using entropy modeling
JP2006127497A (en) Efficient white listing of user-modifiable file
US11354409B1 (en) Malware detection using locality sensitive hashing of API call sequences
WO2008098495A1 (en) Method and device for determing object file
AU2017248417B2 (en) Fuzzy hash algorithm
CN1303529C (en) Anti-altering by using pseudo-random number binary sequence program interlock
Luke et al. The application of CMAC based intelligent agents in the detection of previously unseen computer viruses
Dai Detecting malicious software by dynamic execution
Salah et al. A detection scheme for the SK Virus
Al_salman Design and implementation virus detection protection system under open environment

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20041130

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20050228

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050310

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20050411

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050517

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050602

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090610

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090610

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100610

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110610

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110610

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120610

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120610

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130610

Year of fee payment: 8

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term